近日,知名智能情趣玩具厂商 Lovense 被曝存在严重的账号安全漏洞。
安全研究员 BobDaHacker 于今年 3 月通过 HackerOne 平台披露两项关键漏洞,指出攻击者仅凭用户名或邮箱即可绕过身份验证机制,远程接管 Lovense 用户账号,并可能实时操控设备、读取私人通信内容。
尽管 Lovense 最初承诺将"彻底重构系统",却要求研究员给予长达 14 个月的修复时间,远超业内通行的 90 天披露标准,引发信息安全界强烈质疑。
BobDaHacker 公布的漏洞包括以下两个核心部分:
(1)邮箱信息泄露漏洞
Lovense 应用在用户注册及通信过程中广泛使用 XMPP 协议,并允许通过用户名查询关联的 JID(Jabber ID)。由于该 ID 使用可预测的模式(如 username@domain/resource),攻击者可以轻松将用户名映射为邮箱地址。
更严重的是,即使用户未公开邮箱,也可被精准还原。
危害:用户身份与联系方式被轻易获取,形成数据侧写、社工攻击、垃圾邮件、骚扰行为等连锁风险。
(2)令牌生成逻辑缺陷
研究人员警告称,Lovense 存在的身份验证令牌漏洞使攻击者能够在无需密码的情况下,通过简单的 API 调用直接生成有效会话令牌。
一旦获取目标用户的邮箱地址,攻击者即可登录其账户,进而对绑定的智能性玩具实施远程控制。
在 Lovense 的设计架构中,智能设备与用户账户绑定,通过云端实现远程控制、情侣互动或自动模式。
这也意味着,一旦账户被接管,攻击者可在用户不知情的情况下操控设备的启动、震动强度、频率和时间。
这一缺陷影响 Lovense 的 App、Web 控制平台、IoT 设备配对系统。
危害:攻击者可远程登录任意账号、读取私信、修改设备设置、远程操控联网玩具,甚至实施骚扰、勒索、或造成心理创伤。
尽管 Lovense 于 3 月 26 日第一时间确认漏洞,并向研究员支付了 3,000 美元奖励,其后续处理却备受诟病:
公司在与 BobDaHacker 的邮件沟通中声称:彻底修复漏洞需"重构整个通信架构",至少需要 14 个月,以保障对旧版 App 的兼容性。
研究员提出:已有"临时修复"方案可在 1 个月内缓解风险,包括强制用户更新、关闭旧 API 接口等,但 Lovense 拒绝采用。
大多数负责任的厂商收到漏洞报告后,都会在 90 天内修复并发布更新,避免用户长期暴露在风险中。而 Lovense 却要求 14 个月,不仅慢,而且不符合安全行业公认的规则。
在反复沟通无果、且漏洞长时间未被修复的背景下,BobDaHacker 于 2025 年 7 月 28 日在其个人博客公开漏洞细节,提供技术示例、接口调用逻辑和验证脚本。
据博客指出,Lovense 实际在公开博文发出后的 48 小时内便完成了漏洞修复,这与最初所声称的"14 个月"时间表形成鲜明对比。
研究员评论道:"他们告诉我需要一年多的时间,结果公开压力一来,两天就解决了。"
更令人担忧的是,BobDaHacker 揭示:同类安全漏洞早在 2022 年就有多位研究员向 Lovense 报告过,但多数仅收到少量奖励或免费设备,漏洞至今未被彻底修复。
这揭示出 Lovense 长期对用户隐私保护重视不足,缺乏透明的漏洞响应流程,也未建立应有的漏洞优先级制度,甚至在 HackerOne 平台屡次延误处理时间。
随着情趣科技与 IoT 设备融合,像 Lovense、WeVibe、OhMiBod 等厂商的用户数据早已远不止产品使用本身:包括性偏好、互动时间、通信内容、语音交互、设备地理位置等。
此次漏洞意味着:攻击者可在用户毫不知情的情况下获取账号控制权并监控其行为,堪称"情感黑箱的钥匙"。